淺談網(wǎng)站登錄驗(yàn)證碼驗(yàn)證機(jī)制的現(xiàn)狀

王麗霞 柏建普

摘 要：驗(yàn)證碼是網(wǎng)絡(luò)時(shí)代的產(chǎn)物，設(shè)計(jì)初衷就是為了保護(hù)網(wǎng)頁服務(wù)器和用戶資料的安全，防止垃圾信息泛濫和大量無用資料的充斥。這個(gè)機(jī)制一般又計(jì)算機(jī)自動(dòng)給出的一個(gè)問題，通常以圖片的形式出現(xiàn)，用戶通過在表單中提交這個(gè)問題來經(jīng)過服務(wù)器驗(yàn)證，以判斷這個(gè)行為是否來自于真實(shí)人類。

關(guān)鍵詞：驗(yàn)證碼；用戶體驗(yàn)；網(wǎng)絡(luò)安全

驗(yàn)證碼是新時(shí)期下信息產(chǎn)業(yè)應(yīng)運(yùn)而生的產(chǎn)物，它的英文縮寫是CAPTCHA，這個(gè)詞最早可以追溯到2000年卡內(nèi)基梅隆大學(xué)和IBM公司所提出，是“Completely Automated Public Turing Test to Tell Computers and Humans Apart”（全自動(dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測試）的縮寫，是一種區(qū)分用戶是計(jì)算機(jī)和人的公共全自動(dòng)程序。Yahoo公司作為CAPTCHA的第一個(gè)可以追溯的客戶，沿用至今的一種設(shè)計(jì)原理和印證流程：由計(jì)算機(jī)生成問題并對(duì)提交的答案進(jìn)行評(píng)判，但是這些問題必須只有人類才能解答。設(shè)計(jì)基礎(chǔ)理論是由于計(jì)算機(jī)無法解答CAPTCHA的問題，所以回答出問題的用戶就可以被認(rèn)為是人類。大多數(shù)驗(yàn)證碼就是將一串隨機(jī)產(chǎn)生的數(shù)字或符號(hào)，生成一幅圖片，并在圖片里加上一些干擾，如隨機(jī)畫數(shù)條直線，或畫一些點(diǎn)，由用戶肉眼識(shí)別其中的驗(yàn)證碼信息，輸入表單提交網(wǎng)站驗(yàn)證，驗(yàn)證成功后才能使用某項(xiàng)功能。

驗(yàn)證碼是當(dāng)前每一個(gè)網(wǎng)站不可回避的設(shè)計(jì)，隨著驗(yàn)證碼的普及與發(fā)展，最初設(shè)計(jì)的文本驗(yàn)證碼演變出一些新的形式，較為本土化且相對(duì)較難的有基于漢字的驗(yàn)證碼，目前主要出現(xiàn)在國內(nèi)，由于中國人的母語是漢語，且漢字的可識(shí)別率不是很高，這使得漢字順利成章的被應(yīng)用到驗(yàn)證碼中，然而由于漢字的局限性，面向全球互通的互聯(lián)網(wǎng)網(wǎng)站，大多數(shù)可以采用的素材還是基于字母和數(shù)字的文本驗(yàn)證碼。如圖1所示。

全球通行的字母、數(shù)字驗(yàn)證碼也是目前最為廣泛使用的一種算法較為簡單，相對(duì)訪客而言比較人性化的簡單設(shè)計(jì)之一。除此之外，利用多媒體技術(shù)展現(xiàn)驗(yàn)證碼的方式也愈來愈多，如圖片驗(yàn)證就可以利用一張圖片，以形象、直觀的方式傳遞大量有用信息。目前，一些注重用戶信息安全重要性的網(wǎng)站開始將圖片信息作為驗(yàn)證碼驗(yàn)證的圖靈測試選材。這種圖片信息的驗(yàn)證碼在驗(yàn)證環(huán)節(jié)中可以衍生出很多附加價(jià)值，如顯示一個(gè)小型廣告圖片，驗(yàn)證問題就是廣告中的某個(gè)產(chǎn)品特性或者是直觀的一些產(chǎn)品參數(shù)或是廣告語，這種基于圖片信息的驗(yàn)證碼界面友好，信息傳導(dǎo)直觀，同時(shí)還可能帶來一些商業(yè)附加回報(bào)，也逐漸被一些第三方運(yùn)營公司所挖掘，形成專業(yè)的驗(yàn)證碼驗(yàn)證插件或API提供給網(wǎng)站使用。

基于圖片信息的驗(yàn)證碼通常需要用戶根據(jù)圖片提示信息錄入一些驗(yàn)證文字和信息來完成圖靈測試，往往應(yīng)用于對(duì)實(shí)時(shí)性效率要求不高的網(wǎng)站，如果是用戶對(duì)網(wǎng)站的訪問頻次較高，訪問設(shè)備不便于輸入過多復(fù)雜驗(yàn)證文字的情形，這樣的機(jī)制便大大降低了用戶體驗(yàn)。一些網(wǎng)站出于這方面的考慮，設(shè)計(jì)了通過點(diǎn)擊或是僅僅輸入簡單字符完成驗(yàn)證的圖片驗(yàn)證碼驗(yàn)證機(jī)制，如通過點(diǎn)擊圖片來完成一組圖形驗(yàn)證碼的驗(yàn)證過程，或是通過融入簡單邏輯，經(jīng)過人腦簡單識(shí)別，更為簡單的輸入完成的邏輯圖片信息驗(yàn)證機(jī)制，比如：圖片中有幾個(gè)三角形？這類驗(yàn)證碼對(duì)于人類來說結(jié)合視覺和邏輯思維是相當(dāng)簡單容易的事情，對(duì)于計(jì)算機(jī)而言，相對(duì)困難許多。

隨著網(wǎng)絡(luò)帶寬的提升和網(wǎng)絡(luò)資源占用價(jià)格的降低，視頻有時(shí)也應(yīng)用在了驗(yàn)證碼領(lǐng)域，由于其在帶寬和生成驗(yàn)證碼的服務(wù)器資源代價(jià)上存在較高消耗，目前還是比較微小的群體在使用。在多媒體應(yīng)用中，聲音的應(yīng)用不容忽視，聲音作為人類感官之一，計(jì)算機(jī)也是無法輕易感知的。對(duì)于其他類型驗(yàn)證碼，這類驗(yàn)證碼有其他驗(yàn)證碼無法替代的一些特殊屬性，通?？梢赃m用于特殊人群，如色弱，色盲和視力障礙用戶的驗(yàn)證。然而由于不同區(qū)域，不同國家語言不同，該類驗(yàn)證碼的使用受到了很大限制。

當(dāng)驗(yàn)證碼成為網(wǎng)站登錄和注冊環(huán)節(jié)的標(biāo)準(zhǔn)配置以后，其安全性和良好的用戶體驗(yàn)設(shè)計(jì)如同蹺蹺板的兩端一樣難以制衡。而通過調(diào)查，網(wǎng)站的訪問者們并不愿意在這方面費(fèi)神，很多人抱怨有些驗(yàn)證碼太難，并希望驗(yàn)證碼盡可能簡單，而不是讓用戶絞盡腦汁。出于對(duì)用戶體驗(yàn)的考慮或是自身設(shè)計(jì)上的原因，這就使得大部分的網(wǎng)站投身于簡單易行的驗(yàn)證碼模式來完成想象中安全驗(yàn)證碼應(yīng)有的職責(zé)和任務(wù)。本文以此類驗(yàn)證碼和部分驗(yàn)證碼的驗(yàn)證過程為研究對(duì)象，剖析其中可能存在的安全隱患，嘗試分析驗(yàn)證碼的驗(yàn)證過程來完成對(duì)驗(yàn)證碼安全性考驗(yàn)的實(shí)驗(yàn)，提出一些平衡安全性和良好的用戶體驗(yàn)的思路，以幫助那些賬戶信息和內(nèi)容具有隱私和很大價(jià)值的網(wǎng)站，提升驗(yàn)證碼的安全性，完善整個(gè)驗(yàn)證過程的流程。

[參考文獻(xiàn)]

[1]韓雙旺.基于ASP.NET的動(dòng)態(tài)網(wǎng)站驗(yàn)證碼功能的實(shí)現(xiàn)[J].中央民族大學(xué)學(xué)報(bào)（自然科學(xué)版），2012，21，3：48-52.

[2]柳紅剛.字符扭曲粘連驗(yàn)證碼識(shí)別技術(shù)研究[D].西安：西安電子科技大學(xué)，2012

[3]湯陽.防非法登錄的驗(yàn)證碼技術(shù)的設(shè)計(jì)與實(shí)現(xiàn)[J].數(shù)字技術(shù)與應(yīng)用，2012，6：186.

[4]王偉娜，劉群.Asp.net中圖片驗(yàn)證碼的設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)，2013，11：2598-2600.